إنفاذ PDPL: 48 قراراً من سدايا و72 ساعة لإبلاغ بنوك SAMA

أعلنت الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) في يناير 2026 أن لجانها المتخصصة أصدرت 48 قراراً تنفيذياً خلال العام الماضي ضد منشآت مخالفة لنظام حماية البيانات الشخصية (PDPL). الرسالة واضحة: مرحلة التساهل انتهت، والبنوك السعودية الخاضعة لرقابة البنك المركزي SAMA باتت في مواجهة منظومة إنفاذ متعددة الجهات تتطلب جهازاً موحداً للحوكمة والاستجابة.

إنفاذ PDPL في 2026: من النص إلى الغرامة

منذ اكتمال تطبيق PDPL في سبتمبر 2024، تحوّلت المرحلة من تأهيل الالتزام إلى الإنفاذ الفعلي. الـ48 قراراً الصادرة تتمحور حول مخالفات جوهرية: معالجة بيانات شخصية بدون أساس نظامي، إفشاء غير مرخّص، إخفاق في تطبيق ضوابط تقنية وتنظيمية ملائمة، وإرسال اتصالات تسويقية بدون موافقة صريحة. الغرامة المالية قد تصل إلى 5 ملايين ريال سعودي عن كل مخالفة، مع تصاعد للمخالفات المتكررة وعقوبات جنائية تصل إلى السجن في حالات الإفشاء العمدي للبيانات الحساسة.

المُلفت أن سدايا تُشير إلى أن الجولة القادمة من الإنفاذ ستوسّع نطاقها لتشمل عمليات نقل البيانات عبر الحدود (Cross-border Transfers)، وممارسات الاحتفاظ بالبيانات (Retention)، وحماية بيانات الأطفال — وهي ثلاث نقاط احتكاك حقيقية في عمليات بنوك SAMA المتعددة الفروع وذات الشركاء الإقليميين والمزودين الأجانب.

قاعدة الـ72 ساعة: معركة الإبلاغ عن الحوادث

المادة 21 من اللائحة التنفيذية لـPDPL تُلزم جهة التحكم في البيانات بإبلاغ سدايا خلال 72 ساعة من علمها بأي خرق يحتمل أن يُلحق ضرراً بأصحاب البيانات، إضافة إلى إخطار الأشخاص المتأثرين بدون تأخير غير مبرر. هذه النافذة تتقاطع — ولا تتطابق بالضرورة — مع متطلبات إبلاغ الحوادث في إطار SAMA CSCC الذي يُلزم البنوك بإبلاغ البنك المركزي خلال نوافذ زمنية مختلفة بحسب تصنيف الحادث.

النتيجة العملية: عند وقوع حادث يطال بيانات عملاء البنك (بما في ذلك حوادث الموردين والطرف الثالث)، يجب على فريق الاستجابة تشغيل ثلاثة مسارات إبلاغ متوازية: SAMA، سدايا، والهيئة الوطنية للأمن السيبراني (NCA) إن انطبق. أي تأخير في أحد المسارات قد يُضاعف العقوبات ويفتح باب التحقيقات الموازية.

التأثير على المؤسسات المالية السعودية

بنوك SAMA تواجه أربعة ضغوط تنظيمية متزامنة: PDPL يشدّد على بيانات العملاء الشخصية، SAMA CSCC يُلزم بحوكمة شاملة للأمن السيبراني، NCA ECC-2:2024 أعاد التركيز على السعودة في الأدوار الحساسة، وPCI-DSS v4.0.1 يُلزم بضبط بيانات حاملي البطاقات. أي ثغرة في طبقة معالجة البيانات الشخصية تتحوّل تلقائياً إلى مخالفات متعددة الجهات تواجه فيها المؤسسة لجاناً تحقيقية مختلفة في آنٍ واحد.

في حوادث الموردين الأخيرة — كاختراقات شركات معالجة المدفوعات (BPO) ومزودي SaaS التي شهدها الربع الأول من 2026 — تأكّد أن المسؤولية لا تتوقف عند المورد. PDPL يُحمّل جهة التحكم في البيانات (البنك) المسؤولية عن اختيار معالج بيانات يوفر ضمانات كافية، ومراقبته باستمرار، وإلزامه تعاقدياً بإخطار البنك فوراً عند أي حادث.

التوصيات والخطوات العملية

1. توحيد كتيب الاستجابة (IRP) متعدد الجهات: ضمّن مسارات إبلاغ متوازية لـSAMA وسدايا وNCA مع جداول زمنية محددة، وحدّد المسؤول المعتمد لكل جهة، وسجّل التواصل في نظام Ticketing مركزي قابل للتدقيق ومحفوظ خارج البيئة المتأثرة.
2. تصنيف بيانات شخصية فعلي: نفّذ Data Discovery & Classification تلقائياً عبر بحيرات البيانات، الـCRM، الـCore Banking، وأنظمة معالجة البطاقات. لا يمكن الإبلاغ خلال 72 ساعة بدون معرفة دقيقة بـ"ماذا تأثّر ومن تأثّر".
3. إعادة تصميم عقود الموردين (DPA): أضف بنوداً تُلزم المعالج بإخطار البنك خلال 24 ساعة من اكتشاف أي حادث، وتحديد مسؤولياته كمعالج بيانات، وحقّ التدقيق، وضمانات نقل البيانات الدولية وفقاً للمادة 29 من PDPL.
4. تمارين Tabletop ربع سنوية: اختبر سيناريوهات اختراق طرف ثالث يشمل تسرّب بيانات شخصية، مع مشاركة فِرَق GRC وDPO وCISO والشؤون القانونية والاتصالات، لقياس قدرة الفريق على إنجاز الإبلاغ خلال 72 ساعة بمحتوى دقيق وكامل.
5. توثيق سجلات المعالجة (RoPA): سدايا تطلب سجلاً محدثاً لجميع أنشطة معالجة البيانات الشخصية. حدّث RoPA كل ربع سنة وعند أي تغيير في أنظمة المعالجة أو الموردين أو نطاق المعالجة.
6. تعيين/تأكيد دور ضابط حماية البيانات (DPO): بعض المنشآت تخضع لإلزام تعيين DPO، والبنوك تُعدّ من الفئات الأعلى احتمالاً لهذا الإلزام نظراً لحجم المعالجة وحساسيتها وتنوّع قنواتها.
7. تقييم أثر حماية البيانات (DPIA): قبل إطلاق أي خدمة رقمية جديدة (تطبيق محفظة، Open Banking API، نموذج AI) نفّذ DPIA موثّقاً يُحدّد المخاطر وضوابط التخفيف ويُحفظ كدليل امتثال.

الخلاصة

الـ48 قراراً ليست أرقاماً، بل إشارة منهجية أن سدايا انتقلت من مرحلة التأهيل إلى الإنفاذ المنتظم. بنوك SAMA التي ما تزال تعتمد على عمليات إبلاغ يدوية أو مفصولة بين فِرَق الأمن السيبراني والامتثال والقانوني ستجد نفسها تحت وطأة عقوبات متراكمة عند أول حادث جدّي. الحوكمة الموحّدة بين PDPL وSAMA CSCC وNCA ECC ليست ترفاً تنظيمياً، بل خط الدفاع الأول أمام موجة الإنفاذ القادمة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومواءمته مع متطلبات إنفاذ PDPL وNCA ECC-2:2024.